主要問題是：不管文件最后后綴為什么，只要是.php.*結(jié)尾，就會被Apache服務(wù)器解析成php文件，問題是apache如果在mime.types文件里面沒有定義的擴(kuò)展名在諸如x1.x2.x3的情況下，最后一個x3的沒有定義，他會給解析成倒數(shù)第二個的x2的定義的擴(kuò)展名。所以xxx.php.rar或者xxx.php.111這些默認(rèn)沒在mime.types文件定義的都會解析成php的。同樣如果是cgi或者jsp也一樣，那怎么樣防止這個問題發(fā)生能？
1、可以在mime.types文件里面定義常用的一些擴(kuò)展名，
如：application/rar rar
但是這個沒解決問題，我們不可能全把所有的都定義吧。
2、取消上傳，這個也不太可能。
3、上傳文件強(qiáng)制改名，這個由程序?qū)崿F(xiàn)，如果在虛擬機(jī)比較多，開發(fā)人員多的情況下也不靠譜。
4、比較靠譜的終極大法，禁止*.php.*這種文件執(zhí)行權(quán)限，當(dāng)然可能誤殺，但是基本上這種規(guī)則的文件名肯定有問題。
<FilesMatch "\.(php.|php3.)">
Order Allow,Deny
Deny from all
</FilesMatch>
很多dz論壇、ecshop、phpcms等后臺都有利用此漏洞上傳webshell的方法，那如果我們按上述方法操作了，那很多問題都可以解決了，希望本文對你有所幫助

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。